ネットワークの脅威と対策を一から学ぼう

巧妙化する不正プログラムを防ぐには？

2009年08月19日 09時00分更新

文● 大谷イビサ／TECH.ASCII.jp

ネットワーク上で攻撃を検出する

　IDSは、コンピュータ上で動作する「ホスト型IDS」と、ネットワーク上で通信データを精査して攻撃を検出する「ネットワーク型IDS」の2種類がある。ホスト型IDSは、「Tripwire」^※7のようにファイルの変更履歴を管理することで、攻撃を認識するものである。ただ、一般的にIDSと呼ぶと、ネットワーク型IDSを指すことの方が多いようだ。

※7：Tripwire　ファイルやディレクトリの変更履歴を管理するホスト型IDSソフトウェアで、UNIX環境では古くから用いられている。オープンソース版のほか、Windowsに対応した商用版もある。

　ネットワーク型IDSの代表としては、オープンソースの「Snort」が挙げられる。SnortはシグネチャをベースとしたIDSの元祖であり、インターネット上で多くのシグネチャが公開されているほか、ユーザー自身がカスタムのシグネチャを作成することもできる。また、Snortをベースに、現在では多くの商用製品が登場している。

　本来のIDSは、通信自体を精査するセンサーと、複数のセンサーからの警告を一覧表示するコンソールから構成される。ただし、最近では両者が一体化している製品も多い。センサーはネットワークの間に挟んだ分岐タップやスイッチのミラーリングポート^※8に接続され、コピーされたトラフィックをIDSが監視する。

※8：ミラーリングポート　トラフィック監視のためにパケットを特定のポートにコピーする機能リピータハブと異なり、スイッチでは通信は宛先のホストにつながったポートにしか流れない。

攻撃を止められないIDSの弱点

　IDSはよく監視カメラに喩えられる。攻撃を検出した段階で管理者に警告するという動作は、怪しい人物が写った段階で、管理者に通知が行くという監視カメラに近いからだ。しかし、監視カメラはあくまで監視のみが目的であり、怪しい人物の侵入を止めることはできない。これと同じく、IDSも実際の攻撃を遮断することができない。

　タップ型の構成で用いられるIDSでは、万が一攻撃を検出しても、警告が出た時点では、すでにそのパケットは宛先のネットワークに到達してしまう可能性が高い。たった1つ、2つのパケットの取り漏らしでも、攻撃の内容によっては、すでに被害が出ているかもしれない。これではセキュリティ対策として導入する意味がない。そこで登場したのが、IDSの技術をベースに攻撃を遮断するIPS（Intrusion Prevention System）である。

　IPSは、ミラー型の構成ではなく、ネットワークに挟み込むインライン型の構成で利用する（図9）。そして、送受信されているトラフィックから攻撃をリアルタイムに検出し、TCPのセッションを切断するなどして、攻撃を遮断する。

図9　IDSとIPSのネットワーク構成の違い

　基本的にIPSもIDSと同等の技術を用いて攻撃を検出する。しかし、リアルタイムで攻撃を検出し、さらに遮断しなければならないため、きわめて高い処理能力が必要になる。Snortのようにコンピュータにインストールして利用するソフトウェア型のIDSでは、すでに処理が追いつかないのだ。

　そのため、現在多くのIDS・IPSは高い処理能力を持つプロセッサを搭載したハードウェアに、ソフトウェアを組み込んだアプライアンスでの提供がほとんどとなっている（写真1）。製品も比較的高価なので、どんな企業でも導入できるというものでもない。

写真1　トップレイヤーネットワークスの高速IPS「IPS5500」

拡大するIDS・IPSの利用範囲

　IDSが登場し始めた2000年頃は、ブロードバンドの普及ともにインターネットからの攻撃が増えてきた頃だ。こうした中、IDSはファイアウォールの欠点を補うセキュリティ機器として、大いにもてはやされた。しかし、登場当初は、シグネチャの精度も低く、検出精度を高めるためのチューニングもきわめて難しかった。また、ネットワークのスループットに追いつけない製品も多かった。そのため、普及にはほど遠いという状態であった。

　しかし、IPSの投入や検出精度の向上により、最近ではようやく導入も増えてきたようだ。

前へ 1 2 3 4 5 6 次へ